CWE-692

Name

Incomplete Denylist to Cross-Site Scripting

Status

Draft

Veröffentlicht

2008-04-11
00h00 +00:00

Geändert

2025-12-11
00h00 +00:00

Offizielle Links

CWE Mitre.org

Benachrichtigungen für ein CWE

Bleiben Sie über alle Änderungen zu einem bestimmten CWE informiert.

Benachrichtigungen verwalten

Benutzerdefinierte Benachrichtigungen

Aktivieren Sie Ihre personalisierten Benachrichtigungen!

Um Ihre Benachrichtigungen zu aktivieren, müssen Sie lediglich in Ihrem kostenlosen Konto angemeldet sein. Falls Sie noch nicht angemeldet sind, wählen Sie eine der folgenden Optionen.

In Ihr Konto einloggen Kostenloses Konto erstellen

Benachrichtigungen für ein CWE

Bleiben Sie über alle Änderungen zu einem bestimmten CWE informiert.

Parameter

Sie können einen Titel angeben, der in den gesendeten Benachrichtigungen erscheint.

Geben Sie die CWE-ID an, die Sie überwachen möchten.

Planung

Monat

Berechnung des nächsten Ausführungstermins

Tag

Wochentag

Stunde

Minute

Erstellungsdatum

Letzte Ausführung

Nächste Ausführung

Name: Incomplete Denylist to Cross-Site Scripting

The product uses a denylist-based protection mechanism to defend against XSS attacks, but the denylist is incomplete, allowing XSS variants to succeed.

CWE-Beschreibung

While XSS might seem simple to prevent, web browsers vary so widely in how they parse web pages, that a denylist cannot keep track of all the variations. The "XSS Cheat Sheet" [REF-714] contains a large number of attacks that are intended to bypass incomplete denylists.

Allgemeine Informationen

Einführungsmodi

Implementation

Anwendbare Plattformen

Sprache

Class: Not Language-Specific (Undetermined)

Technologien

Class: Web Based (Often)
Name: Web Server (Often)

Häufige Konsequenzen

Bereich	Auswirkung	Wahrscheinlichkeit
Confidentiality Integrity Availability	Execute Unauthorized Code or Commands

Beobachtete Beispiele

Referenzen	Beschreibung
CVE-2007-5727	Denylist only removes

CWE-692 Details